TCP/IP LINUX
Les outils de base

Les outils suivants sont indispensables à connaître lorsque l'on utilise un système sous Linux. On ne peut ici donner toutes les options de ces commandes. N'oubliez donc pas que l'on peut avoir plus d'aide en tapant la commande suivie de --help, mais aussi man commande. Exemple netstat --help ou man netstat. Enfin souvenez vous que sous Linux, on ne peut utiliser indifféremment les majuscules et les minuscules (la commande ping existe, pas la commande Ping). 

1. ping
   Cette commande est normalement connue de tous. Elle existe dans tous les systèmes. Elle permet de vérifier si une machine distante répond. La syntaxe est des plus simple ping -c 5 192.168.0.1 pour envoyer 5 pings à la machine dont l'adresse IP est 192.168.0.1.
   On peut aussi utiliser le nom de la machine, si celle-ci est renseignée dans votre fichier Hosts ou dans un serveur DNS.
   On peut par exemple utiliser ping pour vérifier si la connexion est toujours active ou pour la monter.
   Si vous ne placez pas l'option -c 5 pour n'envoyer que 5 pings, la commande ne s'arrête pas. Utilisez alors Ctrl C.
2. ifconfig
   ifconfig permet de connaître la configuration de vos cartes réseau, mais aussi de changer celle-ci.
   Pour changer la configuration de votre carte réseau, vous devez taper 
   ifconfig eth0 192.168.0.2 netmask 255.255.255.0 broadcast 192.168.0.255
   Comme les valeurs que je viens de donner sont standards, vous pouviez simplement taper ifconfig ETH0 192.168.0.2 (le netmask et broadcast proposés sont ceux correspondant à une adresse de classe C).  
   Attention au redémarrage de la machine ce changement sera perdu. Il vous faut donc modifier en même temps le fichier /etc/sysconfig/network-script/ifcfg-eth0. 
   Vous pouvez utiliser linuxconf pour faire plus simplement le même travail.
   On peut aussi désactiver une carte réseau ifconfig eth0 down et bien sûr la réactiver ifconfig eth0 up
3. arp
   La commande arp permet de mettre en correspondance des adresses IP et les adresses MAC. Les options possibles importantes sont 
   arp -a pour avoir toutes les entrées ARP de la table
   arp  -d nom_de_la_machine pour supprimer une entrée de la table
   arp -s nom_de_la_machine adresses_mac pour ajouter une nouvelle entrée dans la table.
4. route
   Cette commande permet de voir, d'ajouter ou d'enlever les routes se trouvant déclarées sur votre machine. Ainsi pour indiquer à votre machine où aller trouver les adresses qui ne sont pas les adresses de votre réseau local, vous devez lui indiquer la passerelle (ou gateway) vers laquelle elle doit envoyer tous les paquets.
   Pour voir les routes indiquer route -n (on peut aussi utiliser netstat -nr) L'option -n permet de ne pas avoir la résolution des noms.
   Pour ajouter une route par defaut : route add default gateway 192.168.0.1 (La passerelle vers qui j'envoie tous les paquets qui ne sont pas pour le réseau local). Pour détruire cette route route del default
   Pour ajouter une route vers une machine indiquer route add -host 195.98.246.28 gateway 192.168.0.1 (Indiquer le netmask si celui-ci n'est pas un mask correspondant à la classe de votre adresse).
   Pour ajouter une route vers un réseau indiquer route add -net 195.98.246.0 netmask 255.255.0.0 gateway 192.168.0.1
   Enfin pour supprimer une de ces routes remplacer add par del.
   La gateway ou passerelle correspond la plupart du temps à votre routeur.
   Pour avoir la route que vous venez d'ajouter à chaque démarrage placer la commande dans le fichier /etc/rc.d/rc.local par exemple.
   On peut aussi utiliser linuxconf pour faire la même chose. 
5. netstat
   Voilà une commande moins connue et pourtant très utile. Je ne peux ici commenter toutes les options, je vous propose de lire le man netstat. Elle permet en effet de connaître les ports en écoute sur votre machine,  sur quelles interfaces, avec quels protocoles de transport (TCP ou UDP), les connexions actives et de connaître les routes. 
   Pour voir les connexions actives netstat -nt, pour les ports ouverts netstat -ntl.
   On peut aussi vérifier s'il existe une route par défaut, par exemple existe-t-il une route par défaut vers la machine 195.98.246.28 utilisez alors netstat -nr | grep 195.98.246.28.
   L'option -a énumère les ports en cours d'utilisation ou ceux qui sont écoutés par le serveur.
   L'option -i donne des informations sur les interfaces réseau.
6. lsof
   lsof permet de lister les fichiers ouverts et les processus actifs.
   lsof -i indique les processus de type internet.
   On peut ne demander que pour un protocole lsof -ni tcp:25 ou que vers une machine lsof -ni @192.168.0.1:25
   Pour connaître tous les fichiers ouverts par sur /hda1 utiliser lsof /dev/hda1.
   lsof -i -a -p 1234 permet de connaître tous les ports réseau ouvert par le processus 1234 (-a est interprété comme AND). 
   lsof -p 1234, 12345 -u 500, toto permet de connaître tous les fichiers ouverts par l'utilisateur 500 ou toto ou par le processus 1234 ou 12345.
   Il existe des commandes pour faire cela (fuser,ps, netstat..), mais celle ci est très complète. 
7. traceroute
   Traceroute permet de déterminer la route prise par un paquet pour atteindre la cible sur internet. On peut utiliser soit l'adresse IP, soit le nom d'hôte. Attention certains FireWall ou routeurs ne se laissent pas voir avec la commande traceroute.
   La commande traceroute est très utile pour savoir ou peut se trouver un blocage (plutôt ralentissement). Il existe un grand  nombre d'options, entre autre il est possible de choisir les gateway (jusqu'à 8) pour atteindre une machine. Je vous conseille donc encore une fois de lire le man traceroute. 
    
8. telnet
   Telnet est l'outil indispensable à connaître. Il existe en tant que client sur tous les systèmes. Par contre Linux dispose en plus d'un serveur telnet permettant d'administrer à distance une machine (quoiqu'il existe maintenant un serveur telnet sur windows 2000). On peut ainsi administrer une machine linux depuis un Microsoft quelconque et, mais cela va de soi, depuis une autre machine linux.
   En tant que client, telnet vous permet d'envoyer et de lire vos messages (voir ici).
   Pour pouvoir administrer à distance, il faut que le serveur telnet soit installé sur la machine que vous souhaitez administrer. Pensez aussi à vérifier que cela est autorisé dans le fichier etc/inetd.conf et dans /etc/hosts.allow et /etc/hosts.deny (voir tcp wrappers). 
   Si vous devez vous en servir sur un réseau local ou sur internet, préférez lui SSH (ou la version autorisée en France SSF), car alors les mots de passe ne se promènent pas en clair sur le réseau.
   Par défaut il n'est pas possible de se connecter en root avec une connexion telnet. Vous devez utiliser un autre compte et utiliser la commande su.
9. ftp
   ftp est un outil qui permet de télécharger des fichiers entre machines. Vous connaissez les clients ftp comme ws_ftp. 
   Sous Linux il existe un serveur ftp, que vous activez dans /etc/inetd.conf. Il est installé par défaut dans toutes les distributions. Ce serveur ftp n'est pas lié à l'installation d'apache, comme pour les systèmes Microsoft où vous devez installer IIS pour bénéficier de ce service. Attention toutefois le serveur ftp pose un problème de sécurité important, utilisez plutôt SFTP, qui est disponible avec SSH.
   Vous disposez aussi d'un client ftp en ligne de commande sous Linux comme sous Microsoft. La syntaxe étant pratiquement la même.
   
   [philippe@lycee1 /]$ ftp localhost
   Connected to localhost.
   220 lycee1.ac-creteil.fr FTP server (Version wu-2.6.0(1) Mon Feb 28 10:30:36 EST
   2000) ready.
   Name (localhost:philippe): philippe
   331 Password required for philippe.
   Password:
   230 User philippe logged in.
   Remote system type is UNIX.
   Using binary mode to transfer files.
   ftp> binary
   200 Type set to I.
   ftp> mget * 
   Voici les commandes que vous allez utiliser le plus :

dir	pour lister un répertoire
cd nom_du_répertoire	pour changer de répertoire
get mon_fichier	pour copier un fichier vers votre client (obtenir). Il se place alors dans le répertoire où vous vous trouviez.
mget *	copier tous les fichiers du répertoire vers votre station
put mon_fichier	pour copier un fichier vers le serveur
mput *	pour copier les fichiers se trouvant dans votre répertoire.
binary	pour copier en mode binaire.
exit	pour quitter

    Il existe un grand nombre d'autres commandes. Mais vous avez là les principales, pour copier des fichiers entre machines. La commande ftp vous rendra un grand nombre de services, car elle permet assez simplement d'échanger des fichiers entre linux et windows, sans avoir à installer un client ftp ou à configurer samba.

10. nslookup
    L'utilitaire nslookup permet d'interroger un serveur de nom (serveur dns) afin d'avoir des informations sur un domaine ou sur une machine. Par défaut nslookup utilise le serveur de nom configuré sur votre machine, vous pouvez toutefois interroger un autre serveur de nom. 
    [root@aleu /]#nslookup
    Default Serveur: localhost        Car j'ai un serveur dns sur ma machine 
    Address: 127.0.0.1
    
    >help     Pour avoir de l'aide
    >set type = MX      Pour lister les entrées de type MX (à savoir les serveurs SMTP du domaine).
    >ac-creteil.fr    Le nom du domaine dont vous voulez avoir des MX
    Remplacer MX par le type d'enregistrement que vous souhaitez avoir. Par exemple NS pour les serveurs de nom d'un domaine, SOA  pour start of authority, PTR pour le reverse, A pour une machine. 
    Pour avoir toutes les informations 
    set type=ANY puis le nom du domaine.
    On peut aussi utiliser la commande ls -t CNAME nom_du_domaine pour avoir tous les enregistrements de type cname (les alias).
    Pour interroger un autre serveur DNS que votre serveur par défaut server NAME 195.98.246.50.
11. host
    Commande presque équivalente, mais dont l’usage est plus simple.
    host –a wanadoo.fr 193.252.19.1  Donne de informations sur le domaine wanadoo.fr
    host –v –t mx  wanadoo.fr 193.252.19.1 Donne des informations sur les MX du domaine Wanadoo (vous pouvez indiquer un autre DNS).
    host –l –t any wanadoo.fr pour obtenir toutes les machines du domaine Wanadoo. Ici je n’ai pas indiqué de DNS. Le DNS par défaut sera utilisé, mais si ce serveur DNS n’est pas le DNS du domaine il indiquera qu’il n’est pas authoritative.
12. who
    Cette commande permet de connaître les personnes qui sont loguées sur votre machine. 
13. last
    Cette commande vous permet de voir les dernières connexions ayant eu lieu sur votre machine (en fait il lit le fichier /var/log/wtmp). 
    last sans rien, vous affiche toutes les informations.
    last philippe toutes les connexions de l'utilisateur philippe.
    last reboot tous les reboot de la machine avec la date. 
    lastb est une variante de last, dans la mesure ou il ne cherche que les mauvais login (il lit le fichier /var/log/btmp)
    
     
14. finger
    finger est un service qui vous permet d'obtenir des informations sur les comptes utilisateurs de votre machine. Ce service est à proscrire.  
    sa syntaxe est toutefois assez simple finger toto@la_machine_distante
    Pour avoir plus d'informations utiliser l'option -l 
    Cet exemple montre les deux connexions ouvertes sur la machine aleu.
    
    [root@aleu philippe]# finger -l
    Login: root Name: root
    Directory: /root Shell: /bin/bash
    On since Sun Oct 22 18:34 (CEST) on tty1 39 seconds idle
    (messages off)
    No mail.
    No Plan.
    
    Login: philippe Name: philippe
    Directory: /home/philippe Shell: /bin/bash
    On since Sun Oct 22 18:48 (CEST) on pts/0 from 10.100.1.19
    No mail.
    No Plan. 
    
    Par défaut et par sécurité les machines distantes ne permettent pas, ou plus les commandes finger.
15. tcpdump
    tcpdump permet de faire des captures de paquets sur votre réseau. Je présente ici tcpdump car on le trouve sur tous les cd des distributions. Il n'est pas le plus agréable à utiliser et des utilitaires de ce type plus conviviaux existent. Mon but n'est pas ici de vous montrer comment devenir un pirate (en capturant les mots de passe qui circulent en clair sur votre réseau), mais plus de vous permettre de vérifier par exemple lorsque votre routeur monte la ligne sans que vous ne soyez capable de donner l'origine de cette montée de ligne. Comme de plus cela arrive la nuit (toujours quand on n'est pas là..!), il peut être utile de placer tcpdump et de capturer les  paquets à destination de votre routeur et uniquement cela. Au petit matin en analysant le résultat vous savez quelle machine et quel protocole monte la ligne.
    Par exemple pour intercepter tous les paquets vers la machine 10.100.1.5 sur le port telnet
    tcpdump -l -q -x host 10.100.1.5 and port telnet
    Pour intercepter tous les paquets d'une machine vers une autre sur le port telnet
    tcpdump -l -q -x dst 10.100.1.5 and src 10.100.1.19 and port telnet and tcp
    Pour avoir tous les paquets qui arrivent sur votre machine 10.100.1.5 ne pas indiquer la source.
16. nmap
    nmap  est un outil pour scanner les ports ouverts sur une machine distante. Son utilisation est des plus simple nmap 192.168.0.1 pour scanner une machine ou nmap 192.168.0.0/24 pour scanner les machines se trouvant dans le plan d'adressage 192.168.0.0/24
    Utilisez l'option -v pour avoir plus d'informations. On peut bien sur scanner que certains protocoles, par défaut le protocole scanné est TCP. Pour scanner les deux nmap -v -sU -sT 192.168.0.1
    
    Les options disponibles sont :
    
    -sT  Scanne les ports TCP  -sU pour UDP (attention cela est inscrit dans les fichiers de log de la machine cible).
    -sS  Est identique au précédent sauf que cela ne laisse pas de trace. (il y a une différence quant à la méthode mais cela n'est pas l'objet de cette présentation).
    -sP En fait un ping.
    -p 20-140 Ne scanne que les ports entre 20 et 140, 1024- scanne tous les ports à partir de 1024.
    -I Pour avoir plus d'information sur le port ouvert, ne marche que si identd n’est pas utilisé sur la machine cible.
    -O Permet de connaître l’os (voir aussi –osscan_guess).
    -P0 Permet de scanner les machines qui n’autorisent pas les ICMP echo request.
     
    [root@aleu philippe]# nmap -v -sU -sT 10.100.1.1
    Starting nmap V. 2.30BETA17 by fyodor@insecure.org ( www.insecure.org/nmap/ )
    Host (10.100.1.1) appears to be up ... good.
    Initiating TCP connect() scan against (10.100.1.1)
    Adding TCP port 139 (state Open).
    Adding TCP port 25 (state Open).
    Adding TCP port 110 (state Open).
    Adding TCP port 21 (state Open).
    Adding TCP port 135 (state Open).
    Adding TCP port 80 (state Open).
    Adding TCP port 1026 (state Open).
    The TCP connect scan took 1 seconds to scan 1534 ports.
    Initiating FIN,NULL, UDP, or Xmas stealth scan against (10.100.1.1)
    The UDP or stealth FIN/NULL/XMAS scan took 4 seconds to scan 1534 ports.
    Interesting ports on (10.100.1.1):
    Port State Service
    21/tcp open ftp
    25/tcp open smtp
    80/tcp open http
    110/tcp open pop-3
    135/tcp open loc-srv
    137/udp open netbios-ns
    138/udp open netbios-dgm
    139/tcp open netbios-ssn
    1026/tcp open nterm
    Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds 
    
    Il n'est pas installé par défaut sur votre machine, mais on commence à le trouver sur le CD d'installation des distributions. Il existe une interface graphique (installer nmap-frontend en version rpm).
    Evitez de scanner des machines qui ne sont pas vos machines. Ce produit a pour vocation de vérifier si votre machine est correctement configurée, pas pour tester  les autres.
         
17. ntop
    Un outil indispensable. Il tourne comme daemon et vous pouvez voir les résultats (entre autre ) via une interface web par défaut sur le port 3000 qu'il est possible de changer avec l'option -w.
     

• TP 1 :  Modifier de façon définitive  à l'aide de la commande ifconfig l'adresse IP de votre machine. 
• TP 2 : Chercher les informations suivantes :
             Adresse IP de la machine www.ac-creteil.fr et le nom de la machine web de l'académie.
             Nom des serveurs SMTP de l'académie de Créteil. Indiquer le premier serveur, ainsi que les serveurs secondaires. 
             Pouvez vous donner tous les CNAME de l'académie ainsi que le nom réel des machines.
             Pouvez vous indiquer l'adresse IP du serveur proxy de l'académie. Pouvez vous pinguer le proxy.
• TP 3 : Ecrire un petit script qui vous permette de savoir quelle machine de votre réseau envoie des requêtes vers l'internet et sur  quel  port.

© Philippe Chadefaux - 10/10/2000 -